Handy - Navigation WhatsApp -Schock! Alle Nachrichten auslesbar - trotz Verschlüsselung

Extrem schwerwiegende Vorwürfe: Geheime Hintertür in WhatsApp entdeckt
Ein Sicherheitsforscher hat eine Hintertür in WhatsApp gefunden, die es Facebook erlaubt, alle von Nutzern versendeten Nachrichten zu lesen - entgegen der Behauptung Facebooks, dass genau das unmöglich sei. Die Verschlüsselung von WhatsApp wäre damit plötzlich nichts mehr wert.

Seit Ende 2014 verschlüsselt WhatsApp Nachrichten, die über den Messenger versendet werden, seit April 2016 gilt das für alle Inhalte. Das Unternehmen betont seitdem stets, auch selbst nicht in der Lage zu sein, die Nachrichten seiner Nutzer zu lesen.

Ein Sicherheitsforscher der Berkeley-Universität, Tobias Boelter, widerspricht dieser Darstellung jetzt. Wie der

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

, hat Boelter einen Weg gefunden, der es WhatsApp sehr wohl erlaubt, die verschlüsselten Nachrichten zu entschlüsseln, ohne dass Nutzer davon etwas mitbekommen. Es handelt sich demnach um eine klassische Backdoor, die es dem Betreiber eines Dienstes erlaubt, eigene Sicherheitsmechanismen auszuhebeln.

Auch gegenüber Geheimdiensten und Polizeibehörden müssten WhatsApp beziehungsweise Facebook persönliche Daten von Nutzern preisgeben, wenn sie darauf Zugriff haben.

So funktioniert die WhatsApp-Hintertür
Die Verschlüsselung von WhatsApp beruht auf zwei Schlüsseln: Einen kennt nur der Empfänger einer Nachricht, mit ihm werden eingehende Nachrichten entschlüsselt. Der Sender ist im Besitz eines zugehörigen zweiten Schlüssels, der öffentlich bekannt ist - er wird für die Verschlüsselung der Nachricht genutzt.

Nun kann es allerdings vorkommen, dass auf der Seite des Empfängers ein neuer privater Schlüssel generiert wird, während der Nutzer offline ist - dieser Vorgang kann von WhatsApp angestoßen werden, ohne dass Nutzer davon etwas mitbekommen. Ist das der Fall, müssen bis dato unzustellbare Nachrichten vom Versender erneut verschlüsselt und ein weiteres Mal versandt werden.

Im Laufe dieses Prozesses kann WhatsApp in den Besitz des privaten Schlüssels kommen, so der Bericht des Guardian. Alle weiteren Nachrichten kann das Unternehmen dann mitlesen.

Facebook kennt das Problem - und handelt nicht
Boelter habe das Sicherheitsproblem bereits im April 2016 an Facebook gemeldet. Die Reaktion: Es handle sich um das "erwartete Verhalten", sprich: Facebook sieht keinen Grund zu handeln. Dass die Verschlüsselung umgangen werden kann, scheint demnach Absicht zu sein. Auch in der aktuellen Version konnte der Guardian das Problem feststellen.

Auch wenn der Angriff generell eher zum Abfangen einzelner Nchrichten taugt, ist es laut Boelter auch ohne große Schwierigkeiten möglich, vollständige Unterhaltungen abzuhören.
In einer Stellungnahme gegenüber dem Guardian verweist WhatsApp auf die Einstellung "Sicherheits-Benachrichtigungen anzeigen", die in den Einstellungen aktiviert werden kann. Sie ist auch standardmäßig aktiv. Die Einstellung bewirkt, dass Nutzer im Chat eine Nachricht erhalten, wenn sich der Sicherheitsschlüssel des Empfängers ändert.

In der Regel erscheint dieser Hinweis laut WhatsApp dann, wenn Nutzer ihr Telefon wechseln oder WhatsApp neu installieren.

Sicherheitslücke von WhatsApp eingebaut
Die Verschlüsselung von WhatsApp basiert auf dem Protokoll von Open Whisper Systems, das für den Messenger Signal entwickelt wurde. In ihm findet sich die Lücke nicht, Nachrichten lassen sich dort also nicht entschlüsseln. WhatsApp hat das Protokoll demnach eigenständig erweitert und die Verschlüsselung dabei wertlos gemacht.

Unklar ist bislang, ob das in böser Absicht geschehen ist oder - so die offizielle Begründung WhatsApps -, um das Produkt möglichst einfach bedienbar zu machen.

Quelle: chip

 

[lokipoki]

Habt ihr was anderes erwartet? Da kann man sich doch denken.

 

[Nordcappo]

Nein wirklich. Unglaublich. "Ironie" Ich habe das schon ewig nicht mehr auf meinem Handy und Facebook noch nie genutzt

 

[9000h]

Die "end to end" Verschlüsselung funktioniert doch wie geplant, nur WhatsApp(Facebook) kommt an alle Daten und alle die diese von Facebook bekommen. Damit wird doch Geld verdient.
Wenn ein Produkt kostenlos ist dann seid Ihr das Produkt.

 

[josef.13]

WhatsApp wehrt sich: Bieten keine "Hintertür" für Behörden

Ein Krypto-Experte wirft WhatsApp vor, in seiner Verschlüsselung eine Hintertür für Behörden offen zu lassen. WhatsApp entgegen, es sei eine technische Lösung, damit Nachrichten nicht verloren gehen.

Der Kurzmitteilungsdienst WhatsApp hat den Vorwurf zurückgewiesen, eine "Hintertür" für Überwachung durch Behörden in seinem Verschlüsselungs-Verfahren offenzulassen. Zuvor hatte ein deutscher IT-Sicherheitsforscher in der britischen Zeitung "The Guardian" erklärt, WhatsApp könne Krypto-Schlüssel austauschen, ohne dass Nutzer dies merkten und damit Unterhaltungen abfangen. Der zu Facebook gehörende Dienst erklärte, es handele sich dabei um eine notwendige technische Lösung, damit Nutzer zum Beispiel beim Wechsel von Geräten oder Telefonnummern weiterhin miteinander kommunizieren könnten.

WhatsApp: Funktion als Schutz vor Verlust von Nachrichten
"WhatsApp gibt Regierungen keine "Hintertür" zu seinen Systemen und würde gegen jede Forderung jeder Regierung kämpfen, eine Hintertür zu schaffen", erklärte ein WhatsApp-Sprecher am Freitag. "Die Design-Entscheidung, auf die sich der "Guardian"-Artikel bezieht, verhindert, dass Millionen Nachrichten verloren gehen und WhatsApp bietet Benachrichtigungen an, um Nutzer auf potenzielle Sicherheitsrisiken hinzuweisen."

Tobias Boelter, ein Kryptografie- und Sicherheitsforscher an der University of California in Berkeley, sagte der Zeitung zuvor: "Wenn WhatsApp von einer Regierungsbehörde aufgefordert wird, Nachrichten-Aufzeichnungen offenzulegen, kann es durch den Austausch der Schlüssel Zugang gewähren." Demnach kann WhatsApp neue Krypto-Schlüssel für Nutzer, die offline sind, erstellen - und noch nicht übermittelte Nachrichten werden danach bei einer Internet-Verbindung übermittelt. Dabei sei für die Nutzer der Austausch der Schlüssel nicht ersichtlich, wenn nicht entsprechende Warnmeldungen aktiviert worden seien. Der WhatsApp-Server könne dabei nachträglich komplette Unterhaltungen abrufen und nicht nur einzelne Nachrichten, erklärte Boelter. WhatsApp nahm zu solchen technischen Details zunächst nicht Stellung.

Boelter wies schon im Frühjahr 2016 auf WhatsApp-Funktionalität hin
Boelter machte WhatsApp und Facebook nach eigenen Angaben bereits im April 2016 auf seine Erkenntnisse aufmerksam. Ihm sei jedoch erklärt worden, dass diese Funktionalität so gewünscht sei. Zuletzt beschrieb der Informatiker das Verfahren Ende Dezember auf der Konferenz 33C3 vom Chaos Computer Club (CCC) in Hamburg. Große Aufmerksamkeit bekam der Vorwurf aber erst am Freitag mit dem Artikel im "Guardian".

WhatsApp nutzt für seine Verschlüsselung das Krypto-Verfahren von Open Whisper Systems, auf dem unter anderem die vom NSA-Enthüller Edward Snowden favorisierte Kommunikations-App "Signal" aufbaut. Sie hat diese Besonderheit - die Boelter als Schwachstelle interpretiert und WhatsApp als nützliche Funktion - nicht. WhatsApp selbst spricht von "Ende-zu-Ende-Verschlüsselung", bei der Nachrichten nur für die Teilnehmer einer Unterhaltung, aber nicht für den Dienst selbst sichtbar seien.

Quelle; onlinekosten

 

[all-star89]

nix neues -.-

 

[rooperde]

Sicherheitslücke von WhatsApp wird als Feature angepriesen

Die Sicherheitslücke bei der Verschlüsselung von Nachrichten wird von WhatsApp als besonderes Merkmal und nicht als Lücke dargestellt. Tobias Boelter, der in Köln und Karlsruhe studiert hat, fand schon vor 9 Monaten einen Bug beim Messenger WhatsApp, der zum Belauschen der Kommunikation benutzt werden kann. WhatsApp ist informiert und hat seit April 2016 nichts unternommen.

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Im Gegensatz zu anderen Messenger-Diensten wird bei WhatsApp automatisch ein neuer Schlüssel generiert, sofern der Empfänger nicht erreichbar war und nun einen neuen Schlüssel benutzt. Anderenfalls wären die Texte, Bilder, Videos für den Empfänger nicht lesbar.

Dieses Vorgehen sieht Boelter als problematisch an. Zwar könne man aufgrund dieser Sicherheitslücke nicht die bereits zugestellten Nachrichten einsehen. Wohl aber alle, die noch auf eine erfolgreiche Zustellung warten. In dem Fall müsste WhatsApp einfach ohne Grund einen neuen Schlüssel übermitteln, damit US-Behörden, Geheimdienste etc. die Kommunikation mitlesen können. Der Anwender würde davon nichts mitbekommen.

Es gebe laut Tobias Boelter keine Beweise dafür, dass die Lücke schon einmal vom Unternehmen ausgenutzt wurde, so zum Beispiel auf Anweisung einer Behörde oder eines Geheimdienstes. Die App Signal geht mit dieser Problematik anders um. Können Nachrichten wegen eines neuen Schlüssels des Empfängers nicht übermittelt werden, wird man informiert. Dann kann man manuell erneut versuchen, die Nachricht zuzustellen. In dem Fall tauschen die beiden Kommunikationspartner erneut ihren Schlüssel aus, um jedes Mitlesen Dritter unmöglich zu machen. Dies geschieht bei WhatsApp automatisch im Hintergrund.

Boelter hat diesen Fehler bereits vergangenen April der Betreibergesellschaft Facebook gemeldet. Bis heute hat sich diesbezüglich nichts getan, was ihn stutzig macht. Bis auf seinen Blogeintrag, sein Video (siehe unten) und seinen Vortrag auf dem 33C3 (die Folien sind hier einsehbar) kam bisher keine Bewegung in die Sache. Gestern allerdings berichtete das britische Magazin Guardian darüber. Der Guardian rät von einer Nutzung des Dienstes ab, sofern man darauf angewiesen ist, dass Geheimnisse auch wirklich geheim bleiben.

WhatsApp schrieb dem Guardian zurück, dies sei kein Bug sondern ein Feature. Da zahlreiche Nutzer in anderen Teilen der Welt oftmals ihre SIM-Karten austauschen und somit einen neuen Schlüssel nutzen, würden die Nachrichten ansonsten verloren gehen. Boelter schlug den Betreibern vor, auf das Vorgehen von Signal umzuschalten. Von WhatsApp selbst hat er keine Antwort erhalten. Auch Presseanfragen der ARD, warum sein Vorschlag nicht aufgegriffen wird, blieben unbeantwortet.

Quelle: Tarnkappe
​

 

[ursel666]

aber nicht nur das..unabhängig davon..zwingt fb..handynutzern den messenger zu instalieren..sonst kannste deine nachrichten nicht auf fb lesen..woher nehmen solche vereine sich diese rechte..fürtbar sowas..und alle schauen nur zu..

 

[filius00]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

man kann es sich offenbar leisten, da Mangel an Konkurrenz!

 

[bebe]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Während die STASI große Anstrengungen unternommen hat um die Bürger zu durchleuchten, hat es der BND und Co deutlich leichter. Die Bürger lassen inzwischen die Hosen freiwillig runter, fotografieren inzwischen sogar ihr Essen.
Da kann man dem Zuckerberg keinen Vorwurf machen wenn er die frei Haus gelieferten Daten für sich nutzt.

 

[lavemetoo]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

tja auf die bequemlichkeit und das desinteresse der leute kann man eben bauen. den meisten juckt das nicht im geringsten ala "ich habe doch keine schützenswerten daten. was wollen die denn damit überhaupt anfangen."
ist irgendwie wie beim pairing.

 

[mattmasch]

...mir geht es nicht um schützenswerte Daten, mir geht es darum das ich es nicht brauche.
Wenn die die Daten für gezielte Werbung verwenden....gerne, dann muss ich mir nicht das Medikament gegen Scheidentrockenheit beim Abendbrot ansehen.
Dann kriege ich eben Werbung die genau auf meine Interessen zugeschnitten ist.

 

[pidi]

wieder mal haufenweise beispiele für "journalistische höchstleistungen". 2 europäische schmierblätter interpretieren die aussage eines "experten" mangels fachwissen oder vorsätzlich nach eigenem ermessen und fertig ist die "mega-schlagzeile". trittbrettfahrer gibts eh genug und der rest ist ein selbstläufer, wie man selbst hier im forum sieht. so werden fake-news generiert, dabei machen doch sowas nur reichsbürger und AFDler (ironie-alarm).